过去十年来,中国政府及其国有控股银行一直在努力实现财务报告和程序的 "数字化"。如今,在中国经营的企业几乎不需要访问中国政府机构办公室或银行。交易和报告都在网上完成。
在正常的日常运行中,这意味着以下所有操作都是通过互联网完成的:
- 日常银行业务
- 每月税务报告
- 每月缴纳税款和社会保险
- 开具增值税税票
- 向政府机构提交定期报告
- 对于进口商/出口商,向海关报告
如果你想通过亲自拜访中国政府各部门的老办法来开展此类工作,你会被拒之门外。
这一切看似现代而高效。但互联网的广泛使用隐藏着一个隐患。在所有这些交易中,中国政府机构和银行都要求企业使用机构或银行提供的软件。不允许使用独立的软件。这些软件通常是包括连接软件和防病毒软件的软件包。根据我的经验,这些软件包写得很差、漏洞百出、速度慢且难以使用。当安装在许多企业的中央计算机上时,它们会减慢运行速度,甚至无法使用。
但真正的问题更深层次。正如我在之前的文章中所讨论的,中国政府的目标是使中国的信息网络对外人封闭,但对中国政府完全开放。请参阅《中国的新网络安全计划》:无处藏身 》和《中国的新网络安全系统》:无处可藏》。正如我在这两篇文章中所说,没有地方可藏。信息一旦上网,就会被中国政府获取。更明确地说,中国政府已成为中国最活跃的信息黑客。因此,当企业在其系统中安装所需的软件时,这些软件就是由黑客提供的。风险是显而易见的。针对这两篇文章,我们的许多读者 "建议 "我们不要对黑客攻击 "如此消极",因为 "我们中的一些人仍然需要在中国做生意",但没有人质疑我们关于风险的结论。
最近,总部位于美国的网络安全咨询公司 Trustwave 在其报告中揭露了这一风险的现实,该报告涉及中国一家银行要求在缴税软件中植入恶意软件的案例。请参阅《金税部门和 GoldenSpy 恶意软件的出现》,副标题为:Trustwave SpiderLabs 发现了一个新的恶意软件系列,被称为 GoldenSpy,嵌入在一家中国银行要求企业安装的缴税软件中,以便在中国开展业务。基本情况在中国很典型。银行要求安装由一家中国私营 "大数据 "公司根据与中国国家税务部门的合同制作的强制软件。换句话说,要求使用这种间谍软件的授权直接来自中国北京的国家政府。
该软件包含一个后门,可采取两种行动。首先,提交给银行的所有数据和主机上的所有其他数据都会被传输到与中国国家税务部门有关联的一家中国私营公司所拥有的服务器上。该服务器位于阿里巴巴云上。其次,该软件允许后门操作员完全访问整个主机系统。Trustwave 提供了处理此类感染的最佳实践的标准建议。然而,他们建议删除该软件是不切实际的,因为公司必须使用该间谍软件才能在中国开展业务。他们的替代方法是将该软件安装在与公司主计算机系统完全隔离的专用笔记本电脑上。这种方法可以防止公司主网络系统受到感染。但是,这并不能防止传输给当地税务机关的私人数据被传输到恶意软件服务器,用于未公开的目的。此外,还不清楚中国政府将如何对待将其暴露数据隔离到唯一的非联网计算机上的外国公司。
现在我们知道为什么这些中国政府授权的软件运行得如此糟糕了。这些软件充斥着恶意软件、后门和监控协议,以至于正常运行速度减慢,许多系统都无法使用。我们这些在中国工作的人一直都这么认为,现在,Trustware 的报告提供了一个具体的例子。
更大的问题是,这种强行安装后门恶意软件的行为在中国一直存在。这不仅仅是一家银行的一款软件的问题。正如本案例所示,中国政府与政府控制的银行、地方政府、私营软件/大数据公司以及中国云服务提供商合作,共同实施了一套系统,允许完全访问中国网络上的所有信息。
或许可以像 Trustware 建议的那样,针对单一恶意软件实施保护。但实际上,要针对中国政府为访问公司私人数据而采取的持续而普遍的措施实施保护是不可能的。访问点太多了。例如,政府强制检查公司网络,在检查过程中允许安装类似的后门恶意软件。
问题不仅仅是外国投资者在中国的系统被入侵。一旦中国的系统被入侵,黑客(中国政府)几乎总能进入与被入侵系统相连的整个国际网络。感染会从中国蔓延到世界各地。信息化、大数据和全方位主导是中国政府的首要任务。如果您在中国境内开展业务,您将无处藏身。这对在中国运营的公司具有重要影响,必须认真评估这一现实。
